이전에 문서화되지 않은 APT(고급 지속 위협) 그룹은 클라우드 소서러 클라우드 서비스를 이용해 명령 및 제어(C2)와 데이터 유출을 수행하여 러시아 정부 기관을 표적으로 삼는 것으로 관찰되었습니다.
2024년 5월에 이 활동을 발견한 사이버 보안 회사 카스퍼스키는 위협 행위자가 채택한 무역 기술이 CloudWizard와 유사하지만 맬웨어 소스 코드의 차이점을 지적했습니다. 이 공격은 혁신적인 데이터 수집 프로그램과 흔적을 감추기 위한 수많은 회피 전술을 사용합니다.
러시아 보안 업체는 “Microsoft Graph, Yandex Cloud, Dropbox 클라우드 인프라를 통한 은밀한 모니터링, 데이터 수집, 유출에 사용되는 정교한 사이버 스파이 도구”라고 밝혔습니다.
“이 맬웨어는 클라우드 리소스를 명령 및 제어(C2) 서버로 활용하고 인증 토큰을 사용하여 API를 통해 액세스합니다. 또한 CloudSorcerer는 GitHub을 초기 C2 서버로 사용합니다.”
현재로선 타겟에 침투하는 데 사용된 정확한 방법은 알려지지 않았지만, 초기 접근은 백도어로 사용되는 C 기반 이식 가능 실행 파일 바이너리를 드롭하거나, C2 통신을 시작하거나, 실행되는 프로세스에 따라 다른 합법적인 프로세스(즉, mspaint.exe, msiexec.exe 또는 “browser”라는 문자열 포함)에 셸코드를 주입하는 데 악용됩니다.
카스퍼스키는 “이 악성코드는 실행 중인 프로세스에 따라 동적으로 동작을 조정할 수 있는 능력이 있고, Windows 파이프를 통한 복잡한 프로세스 간 통신을 사용한다는 점에서 더욱 정교함을 드러낸다”고 밝혔습니다.
백도어 구성 요소는 피해자의 컴퓨터에 대한 정보를 수집하고 파일 및 폴더 열거, 셸 명령 실행, 파일 작업 수행, 추가 페이로드 실행에 대한 지침을 검색하도록 설계되었습니다.
C2 모듈은 Microsoft Graph 또는 Yandex Cloud에 호스팅된 실제 서버를 가리키는 인코딩된 16진수 문자열을 가져오는 데드 드롭 리졸버 역할을 하는 GitHub 페이지에 연결합니다.
“또는 GitHub에 연결하는 대신 CloudSorcerer는 러시아 클라우드 기반 사진 호스팅 서버인 hxxps://my.mail(.)ru/에서 동일한 데이터를 가져오려고 시도합니다.” Kaspersky가 말했습니다. “사진 앨범의 이름에는 동일한 16진수 문자열이 포함되어 있습니다.”
“CloudSorcerer 맬웨어는 러시아 정부 기관을 표적으로 삼는 정교한 툴셋입니다. C2 인프라를 위해 Microsoft Graph, Yandex Cloud, Dropbox와 같은 클라우드 서비스를 사용하고, 초기 C2 통신을 위해 GitHub을 사용하는 것은 사이버 스파이에 대한 잘 계획된 접근 방식을 보여줍니다.”
